数据法域外适用及其冲突与应...清域外合法使用数据法》为例_王燕.pdf

187 数据法域外适用及其冲突与应对以欧盟通用数据保护条例与美国澄清域外合法使用数据法为例王 燕*摘 要：欧美个人数据保护及境外数据获取的最新立法均体现出强烈的域外适用倾向。前者以欧盟通用数据保护条例为代表扩大属人主义原则的运用，并将“目标指向”或“消极人格”标准引入数据法规；后者以美国澄清域外合法使用数据法为典型，通过扩张本国对数据控制者的联系进行数据执法。这两类立法以本区域或本国与数据主体和数据控制者的联系为连接点进行域外适用，对数据流动分别产生限制移动或强制转移效果，必然会在彼此之间形成法律冲突，并对企业的数据合规及国家的双边关系产生负面影响。为减少冲突，国家在制定具有明显域外效力的个人数据保护或境外数据获取法律法规时，应与数据往来频密的国家尽可能达成具有可执行性的数据交换协议，或改进双边司法协助协议中的数据交换机制，在执法及司法中基于礼让原则对本国域外执法利益和外国冲突利益和价值进行平衡，采取与其目标相称的执法和司法措施。关键词：数据法规；域外适用；法律冲突；数据主体；数据控制者人类社会进入数字时代后，数据立法成为国家在国际社会中争夺数据治理话语权、输出本国数据治理观、扩大本国数据优势的主要路径。数据管辖是国家延伸网络监管权限，实现数据资源独立，保障网络设备整体性和独立性等目的的一种途径。互联网时代，网络空间本身的无边界性及数据的无限移动性，使国家不得不制定具有域外适用效力的数据法律法规以实现数据管制的目的，同时借助于域外管辖扩大本国数据法律执行力，巩固本国数据优势。欧盟和美国分别在个人数据保护及境外数据获取中采纳扩张性管辖策略。欧盟制定了备受争议的“目标指向”标准，以“数据主体”与本国的联系扩张通用数据保护条例（GDPR）的保护范畴及实效，防范他国政府和个人对区域内个人数据的不当获取和处理。美国则发挥本国数据企业的数据持有优势，在澄清合法使用境外数据法（CLOUD）中借助于本国法律对数据控制者的属人管辖提升执法机关的数据境外获取能力。这两类立法在域外适用过程中产生了直接的法律冲突，对个人权利、政府执法权以及双边合作关系均产生负面影响。域外管辖条款当前在个人数据保护及境外数据获取的立法中已屡见不鲜。其制定和实施会在不同国家、不同类别的数据法之间产生互动，如处理不当则可能引发剧烈的法律冲突。本文以欧盟GDPR和美国CLOUD的法律适用条款为分析对象，首先剖析数据立法背离传统地域性原则进行域外适用的原因，进而分析欧美借助GDPR与CLOUD在保护本国数据主体和执法机关利益、防范法律规避过程中形成的不*广东外语外贸大学法学院教授，法学博士。本文系国家社科重大项目“粤港澳大湾区数据要素跨境流动路径研究”（项目编号：21&ZD123）以及2021国家社科后期资助项目“数字贸易国际规则研究”（项目编号：21FFXB047）的研究成果。数据法域外适用及其冲突与应对 王 燕 188 同域外管辖标准，并探讨这两类立法因域外适用引发的法制冲突和应对方案。一、数据管辖扩张的必然性管辖是国家主权的一项基本要素，体现为国家基于特定实质性利益对其权威性的一种主张或对他国权威性的一种抵制。1在众多管辖标准中，地域管辖反映为国家对其域内发生的行为实施法律权威的能力，以特定物、人或事件与国家疆域的联系为基础，具有较强的客观性及非冲突性，成为国际法中最基础、最无争议的管辖原则。2然而，数据传输及数据管辖利益的特殊性使数据法并不一定都适于采纳地域管辖原则。其一，地域管辖与网络空间和数据传输的特殊属性并不相符。互联网是一种特殊的空间形态，它并不存在于特定的地理位置，但又属于人人可以进入的领域。互联网上的数据行为与其结果往往不具有地域归属的特征，3尤其在数据存储及处理技术不断更新的情势下。以数据存储为例，大型数据技术企业在全球设有多个数据中心，采取两种形态的存储。第一种是传统的物理存储技术，企业在全球设立多个数据中心，进而考虑数据的存储成本、运输效率、安全性以及数据主体所在国的合规要求等确定特定地域生成数据包的实际存储地。4第二种是动态存储技术，即云存储技术，该技术具有“扩展性”（scalability）特征。5系统会对数据包进行分割，然后根据其不同服务器的存储空间和效率择优存储，分片、分区，以随机而非单个连续数据集合的方式将数据存储于数个国家及数个服务器之上。6动态存储技术削弱了数据存储与特定区域的联系，无论是政府、数据主体还是企业，均难以事先预测数据的实际存储地点。7随着数据存储技术的升级，物理存储方式逐渐被云存储技术代替，任何数据都不再与特定物理空间或特定服务器保持恒定的联系，8以数据存储地作为管辖地本身不具有可行性。其二，数据存储地或业务提供地并不一定就是数据服务提供者或消费者所在国家，其数据法律对数据行为并不必然具有管辖利益。首先，不同数据法律所反映的数据管辖利益是不同的。对个人数据保护具有显著利益的国家通常为数据主体所在国家，并非数据存储地。倘若以数据存储地确定应适用的个人数据保护法律，数据控制者便可挑选数据法律保护最弱的国家进行数据存储。电子证据境外获取法律的管辖利益更为复杂。严重刑事案件发生地的证据调查利益可能高于数据存储地的数据保密利益，若以数据所在地作为管辖依据可能是武断的，9将导致政府调查取证权限受制于企业对数据存储地的偶然、投机的选择。10因此，国家在制定个人数据保护以及境外数据获取的法律时倾向于剥离与数据存储地的关联，避免电子证据存储地的随机性成为个人数据权保护或执法机关执法权行使的障碍。其 1 H.L.Buxbaum,Territory,Territoriality,and the Resolution of Jurisdictional Conflict,57TheAmericanJournalofComparativeLaw631,635(2009).2 TheLotusCase(Fr.v.Turk.),1927P.C.I.J.(ser.A)No.10,paras.18-19.3 满涛：信息网络犯罪管辖权的规则冲突与协调路径，载湖南农业大学学报（社会科学版）2021年第2期，第66页。4 RussellHsiao,Implications for the Future of Global Data Security and Privacy:The Territorial Application of the Stored Communications Act and the Microsoft Case,24Cath.U.J.L.&Tech.215,229(2015).5 DamonC.Andrews&JohnM.Newman,Personal Jurisdiction and Choice of Law in the Cloud,73MarylandL.Rev.313,325(2013).6 美克里斯托弗 米勒德：云计算法律，陈媛媛译，法律出版社2019年版，第183、418页。7 正是因为谷歌采纳的动态存储技术，在谷歌案中，宾夕法尼亚州东部法院认同地区法院观点，认为谷歌公司动态存储数据的做法使其无需考虑受法律是否域外执行，因为其数据存储地是不确定的。InreSearchWarranttoGoogle,275F.Supp.3d,619(Sdnchez,J.).8 OrinS.Kerr,The Next Generation Communications Privacy Act,162U.Pa.L.Rev.373,408(2014).9 JenniferDaskal,The Un-Territoriality of Data,125YaleL.J.326,330(2015).10 BriefofMediaOrgs.asAmiciCuriaeSupportingAppellantat2,MicrosoftCorp.,No.14-2985-cv(2dCir.Dec.15,2014).比较法研究 2023年第1期 189 次，数据技术在革新过程中改变了法院对数据管辖域外性的解释，亦重塑了管辖利益。微软公司采纳了本地云管理模式，美国第二巡回上诉法庭（U.S.CourtofAppealsoftheSecondCircuit）在阐释微软公司的数据管辖利益时，认为微软公司数据存储地显然在爱尔兰，从而政府的数据调取构成了域外执法。谷歌公司则使用共享云管理模式，对数据碎片式随机存储，认定争议数据实际存储地并不可行，宾夕法尼亚州东部地区法院从而以数据获取地美国作为该案的地域联系地。11两种不同的数据管理模式和技术使法院对数据域外管辖定性不同，进而对本国是否具有管辖利益产生认识差异。总而言之，无论是从数据本身与特定地域的“非关联性”还是从国家对数据治理的管辖利益来看，数据的存储或处理地均不一定是与数据法律存在最密切联系的地域。在欧盟与美国最新的个人数据保护与电子证据境外获取的立法中，数据管辖的例外主义或“后地域性”趋势抬头。12欧美个人数据保护及境外数据获取的立法分别采取了数据主体和数据控制者为核心的进路，建立了有利于扩张本国利益的管辖标准。二、欧盟个人数据保护法规的“数据主体”管辖标准个人数据保护立法以保障本国数据主体权利不受侵害为立法目标。欧盟1995年指令已建立数据保护法规域外适用的惯例，但仍保留了地域管辖原则的影响，132018年GDPR则彻底摆脱了地域管辖的限制，构建了以数据主体保护为核心的域外管辖标准，14不仅扩大属人标准的适用，并利用“目标指向”标准或“消极人格”标准，扩张本国的管辖利益。数据保护立法要增强法规的“穿透力”，可围绕数据主体的保护需求，将一切需要对数据主体消极人格行使保护的情形纳入适用范围以增强法规的管辖张力，同时宽松解释数据控制者与本国的联系以提升GDPR的捕捉力。GDPR第3条正是如此，第3.1条规定条例适用于在欧盟境内设有存在的数据控制者或处理者所进行的个人数据处理行为，不论其处理行为是否发生在欧盟境内。放宽对数据控制者属人管辖的解释正是出于保护区域内数据主体的需要。第3.2条以数据主体利益是否受到损害进行评价，对非在欧盟境内设立存在的数据控制者，只要其为欧盟境内的数据主体提供商品或服务或对发生在欧盟境内的数据主体的活动进行监控便受GDPR的约束。尽管数据管辖仅为一种程序规范，但在欧盟谈判力量和市场力量的游说下，发挥了塑形全球数据保护标准的作用。15首先，GDPR第3.1条确定欧盟法院对数据控制者域外管辖的合理性标准为数据控制者在欧盟境内建立的“存在”。在解释“存在”一词时，欧盟法院认为无需过于形式化，而应采取灵活的方式，16只要反映GDPR“序言”第22句的精神，即“数据控制者应通过稳定的安排与欧盟建立有效和真实的联系”即可。17从欧盟数据委员会提供的GDPR适用指引来看，在欧盟境内建立生产线、数据中心、聘请员工等11 PaulM.Schwartz,Legal Access to the Global Cloud,118Colum.L.Rev.,1681,1693(2018).12 PaulDeHert&JohannesThumfart,The Microsoft Ireland Case and the Cyberspace Sovereignty Trilemma.Post-Territorial Technologies and Companies Question Territorial State Sovereignty and Regulatory State Monopolies,4SocialScienceElectronicPublishing1,4(2018).13 ManuelKlar,Binding Effects of the European General Data Protection Regulation(GDPR)on U.S.Companies,11HastingsSci.&Tech.L.J.101,121(2020).对非在欧盟境内建立的数据控制者，指令的